NSA等机构联合宣布如何配置和监控PowerShell的指南

首页 > 宁静研究 > 宁静通报 > 宁静简讯

NSA等机构联合宣布如何配置和监控PowerShell的指南

宣布时间 2022-06-24

1、NSA等机构联合宣布如何配置和监控PowerShell的指南

6月22日，美国CISA、新西兰NZ NCSC和英国NCSC-UK宣布了一份联合网络宁静信息表(CIS)。这些机构建议适当的配置和监控PowerShell，而不是因为攻击者会在访问网络后使用它而完全删除或禁用它。指南建议，利用框架中的功效，例如PowerShell远程处置；对于远程连接，使用PowerShell 7中支持的SSH，以增加公钥身份验证的便利性和宁静性；在AppLocker或Windows Defender应用法式控制(WDAC)的资助下减少PowerShell的操作，将工具设置为受限语言模式(CLM)，从而拒绝管理员界说的计谋之外的操作。

https://www.cisa.gov/uscert/ncas/current-activity/2022/06/22/keeping-powershell-measures-use-and-embrace

2、Cyber Spetsnaz将矛头瞄准立陶宛的要害基础设施

据媒体6月22日报道，Cyber Spetsnaz开始针对立陶宛的政府机构和要害基础设施。在立陶宛宣布对俄罗斯实施“禁运令”后，该团伙宣布了协调DDoS攻击的多个目标，其中涉及物流公司、交通基础设施、主要金融机构、ISP、机场、能源公司、主要媒体和政府的网站。据6月23日报道，立陶宛国家网络宁静中心(NKSC)宣布了一则通告，称针对该国政府的DDoS攻击急剧增加，导致立陶宛的运输公司、金融机构和其它大型实体都发生了短暂的服务中断。

https://securityaffairs.co/wordpress/132518/hacktivism/lithuania-under-cyber-attack.html

3、Check Point披露Tropic Trooper近期攻击的详情

Check Point在6月22日宣布了关于Tropic Trooper攻击活动的分析陈诉。此次活动使用了新的加载法式Nimbda和木马Yahoyah的新变种。熏染链始于恶意版本的SMS Bomber，它实际上是Nimbda加载法式，但使用了SMS Bomber图标，并包罗SMS Bomber作为嵌入的可执行文件，加载后会安装Yahoyah变体并收集主机的数据。最终的payload由Yahoyah下载，并使用隐写技术编码为JPG图像，Check Point将其识别为TClient，是Tropic Trooper在过去活动中曾使用过的后门。此外，用于包装Yahoyah的加密是AES的自界说实现，它执行了两次倒序的轮操作，使样天职析变得非常困难。

https://research.checkpoint.com/2022/chinese-actor-takes-aim-armed-with-nim-language-and-bizarro-aes/

4、QNAP修复已存在三年的PHP漏洞CVE-2019-11043

6月22日，QNAP宣布宁静更新，修复了一个已存在三年之久的PHP漏洞（CVE-2019-11043）。QNAP在通告中解释，漏洞会影响低于7.1.33的PHP版本7.1.x、低于7.2.24的7.2.x和低于7.3.11的7.3.x，如果被利用，可导致远程执行代码。该漏洞CVSS评分为9.8，影响了QNAP的多个版本的QTS、QuTS hero和QuTScloud设备。该公司建议用户立即更新到最新的版本，以修复此漏洞。

https://www.bleepingcomputer.com/news/security/critical-php-flaw-exposes-qnap-nas-devices-to-rce-attacks/

5、Proofpoint宣布2022年社会工程的攻击活动陈诉

Proofpoint在6月22日宣布了最新的社会工程学陈诉。陈诉分析了社会工程的主要趋势和行为，包罗，攻击者可以通过延长对话与目标建立信任、扩大了对有效计谋的滥用（如使用受信任公司的服务）、在其攻击链中利用正交技术（如电话）、知道并利用同事之间现有的对话、利用热门和与社会相关的主题等。此外，该陈诉还着眼于经常被滥用的服务，好比谷歌Drive和Discord。

https://www.proofpoint.com/us/blog/threat-insight/how-threat-actors-hijack-attention-2022-social-engineering-report

6、日本汽车零件制造商Nichirin称其遭到勒索攻击

据6月23日报道，日本汽车和摩托车软管制造商Nichirin的子公司Nichirin-Flex USA遭到了勒索攻击，导致该公司的网络中断。攻击发生在6月14日，该公司在检测到其网络上未经授权的访问后立即将操作切换得手动模式。由于网络攻击也影响了产物分销，而且订单是手动完成的，因此客户的订单应该会延迟。该公司的声明体现，恢复系统已成为恢复业务运营的优先事项，其目前正在视察未经授权的访问是如何发生的，并试图确定信息泄露的影响。

https://www.bleepingcomputer.com/news/security/automotive-hose-maker-nichirin-hit-by-ransomware-attack/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究